mala planificación que causa contraseñas débiles

Navega tus respuestas
2

El departamento de deportes de mi universidad tiene una página de Facebook y en ella dijeron "las primeras 500 personas que se registren para este evento recibirán camisetas gratis". Al registrarse, uno tiene que crear una cuenta con una contraseña, de modo que todos los programas que registren (ahora y en el futuro) le sean facturados. Como todos están apurados, estoy seguro de que hay un montón de contraseñas débiles. ¿Es este un objetivo viable para un atacante? ¿Qué se podría hacer de manera diferente? Promocionando para "registrarse rápidamente!" Es una idea realmente mala que me di cuenta.

    
pregunta Celeritas 21.08.2012 - 08:58
fuente

2 respuestas

4

Hay dos opciones fuertes:

  1. Requisitos de contraseña segura. Esto niega el problema y obliga al usuario a usar una contraseña segura. Sin embargo, reducirá las tasas de conversión si las personas se sienten frustradas.
  2. Inicio de sesión único. Esto implica el uso de un servicio de terceros (por ejemplo, Facebook, Twitter, Google, OpenID, etc.) como servicio de inicio de sesión, lo que significa que en realidad no es necesario crear una nueva cuenta.

Dado que la competencia se está ejecutando desde Facebook, creo que un único inicio de sesión es la mejor opción.

Sin embargo, por favor asegúrese de que está solicitando el número mínimo absoluto de privilegios necesarios de la cuenta del usuario. Siempre que uso una aplicación que quiere usar mi cuenta de Twitter o Facebook y dice "Puedo publicar tweets por ti" o "Puedo ver tus páginas favoritas" cuando todo lo que quiero hacer es publicar un comentario, no me molesto. Es una intrusión innecesaria.

    
respondido por el Polynomial 21.08.2012 - 10:04
fuente
1

Confíe en Facebook para la autenticación. (Es decir, utilizar el inicio de sesión único exclusivamente).

Las contraseñas débiles no son su mayor preocupación, en realidad. Las personas siempre pueden cambiar su contraseña más tarde. (No lo harán, por supuesto, pero ¿y qué? ¿Quién se molestaría en usar una contraseña segura para un departamento de deportes, incluso si es más que un T-shift gratuito?)

El problema real es que las personas reutilizarán una contraseña existente . La aplicación probablemente fue lanzada a toda prisa, y parece estar lista para usarse cada vez más a lo largo del tiempo. ¿Cuánto apuestan para que nunca se filtren contraseñas? No apostaría mi camiseta en ella. Cuanto menos guarde las contraseñas, mejor.

(Ampliando el consejo de CodesInChaos (y hasta cierto punto, Polinomial), porque no han dado la verdadera razón para usar SSO)

    
respondido por el Gilles 21.08.2012 - 11:54
fuente

Lea otras preguntas en las etiquetas

Probando la autenticación http a través de netcat ¿Se debe presumir que WPA2-AES es inseguro? (¿Qué es la vulnerabilidad "Hole196"?)